IDC子账号使用规定

• 应当使用子账号操作云资源，并且记录操作行为，应当避免直接使用IDC主账号操作资源；
• 子账号应当设置权限，例如操作OSS的子账号仅设定OSS权限；
• 每个子账号绑定负责人，负责人有保障安全义务，离职前需要交接所有相关子账号；
• 避免赋予子账号使用范围以外的权限；

云服务器、云数据库等安全规定

• 禁止分配ROOT账号作为数据操作账号；
• 避免暴露数据库端口至公网，至少设定IP白名单；
• Linux的SSH端口统一设定为51122，避免账号密码方式登录，应当以账号+密钥方式登录；
• 关闭所有非必要端口访问；
• HTTP访问应当配置SSL证书；
• 备份策略（主要针对破坏性病毒和勒索病毒）：
  1. 常规数据库每日全量备份，大数据每日增量备份、每月全量备份；
  2. 备份存放在自有机房服务器内，该服务器备份接口锁定删除和修改权限；
  3. 备份服务器内文件每月离线备份一次，推荐磁带机、安全性较高的移动硬盘、离线NAS等；
  4. 每日备份至少保留30天，一年内数据至少保留每月一次全量备份，三年内数据至少保留每季度一次全量备份。

云资源访问

• 应当使用自有域名访问资源，禁止使用ip:port和IDC生成的子域名等方式访问资源，确保未来的迁移可行性；
• 应当遵循对IDC低依赖性原则，使用的所有云资源必须是低迁移成本，或者可低成本自行搭建，避免使用需要商业授权的组件；
• 除接口类（如短信接口、身份证验证接口等）云资源外使用的云资源必须保留可执行的自行搭建文件，最好具备一键执行的shell脚本；

应用安全

• 暴露在公网的管理后台禁止使用123456、abc123、admin等弱密码；